forum.opennet.ru - "iptables помогите с цепочкой FORWARD пожалуйста!" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"iptables помогите с цепочкой FORWARD пожалуйста!"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"iptables помогите с цепочкой FORWARD пожалуйста!"
Сообщение от stasiki on 05-Янв-06, 12:28 (MSK)
NAT, iptables, core 2.4. Хочу открыть пару портов для выхода в инет (http, icq, ftp) Пишу правило: iptables -A FORWARD -p tcp -m tcp --sport 53 -j ACCEPT iptables -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -m tcp --sport 80 -j ACCEPT iptables -A FORWARD -p tcp -m tcp --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -m tcp --sport 20 -j ACCEPT iptables -A FORWARD -p tcp -m tcp --dport 20 -j ACCEPT iptables -A FORWARD -p tcp -m tcp --sport 21 -j ACCEPT iptables -A FORWARD -p tcp -m tcp --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -m tcp --sport 5140 -j ACCEPT iptables -A FORWARD -p tcp -m tcp --sport 5140 -j ACCEPT Думаю что мои правила составлены не правильно. Подскажите пожалуйста как сделать правильно!? С Уважением.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

iptables помогите с цепочкой FORWARD пожалуйста!, Vadimus, 15:57 , 07-Янв-06, (1)
iptables помогите с цепочкой FORWARD пожалуйста!, _KAV_, 11:15 , 09-Янв-06, (2)

Сообщения по теме [Сортировка по времени, UBB]

1. "iptables помогите с цепочкой FORWARD пожалуйста!"

Сообщение от Vadimus on 07-Янв-06, 15:57  (MSK)

А где сами правила NAT ? Я полагаю необходимо добавить
iptables -t nat -A POSTROUTING -s <ip-адрес внутр. сети/маска внутр. сети> -j SNAT --to-source <ip-адрес в интернет>

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "iptables помогите с цепочкой FORWARD пожалуйста!"

Сообщение от _KAV_ (??) on 09-Янв-06, 11:15  (MSK)

>NAT, iptables, core 2.4.
>Хочу открыть пару портов для выхода  в инет (http, icq, ftp)
>
>Пишу правило:
>
[skip]
>
>Думаю что мои правила составлены не правильно.
Действительно, неправильно... Согласен. Но не совсем понимаю вопрос,если дело идет о _твоем_ выходе в инет.
1. к примеру, пбращение к http идет не _с_ 80 порта, а _на_ 80 порт.
Таким образом, требуется разрешать а) output б) source = твоя машина (можно добавить для паранойи sport = непривегированые порты, хотя это вообще-то излишне)
2. требуется разрешить ответ, при этом только от того хоста, на который обращались. Это делается разнешением на input (опять таки) соединений с состоянием established, related.
Для прочих аналогично. Это если касается выхода этой машины в инет.
Для выхода в инет локалки правила меняются на forward с поправками
в 1.- разрешить forward с интерфейса in-iface= интерфейс в локальной сети (и включить маскарад, а еще лучше SNAT), все прочие правила одинаковы
в 2.- только заменить input на forward
P.S. А если хочешь предоставлять сервисы наружу, то все (почти) правильно, только цепочка-то должна быть input...
И вообще, х.з., чего ты хочешь добиться - по твоему посту это непонятно

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables помогите с цепочкой FORWARD пожалуйста!"
Сообщение от Vadimus on 07-Янв-06, 15:57 (MSK)
А где сами правила NAT ? Я полагаю необходимо добавить iptables -t nat -A POSTROUTING -s <ip-адрес внутр. сети/маска внутр. сети> -j SNAT --to-source <ip-адрес в интернет>
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "iptables помогите с цепочкой FORWARD пожалуйста!"
Сообщение от _KAV_ (??) on 09-Янв-06, 11:15 (MSK)
>NAT, iptables, core 2.4. >Хочу открыть пару портов для выхода в инет (http, icq, ftp) > >Пишу правило: > [skip] > >Думаю что мои правила составлены не правильно. Действительно, неправильно... Согласен. Но не совсем понимаю вопрос,если дело идет о _твоем_ выходе в инет. 1. к примеру, пбращение к http идет не _с_ 80 порта, а _на_ 80 порт. Таким образом, требуется разрешать а) output б) source = твоя машина (можно добавить для паранойи sport = непривегированые порты, хотя это вообще-то излишне) 2. требуется разрешить ответ, при этом только от того хоста, на который обращались. Это делается разнешением на input (опять таки) соединений с состоянием established, related. Для прочих аналогично. Это если касается выхода этой машины в инет. Для выхода в инет локалки правила меняются на forward с поправками в 1.- разрешить forward с интерфейса in-iface= интерфейс в локальной сети (и включить маскарад, а еще лучше SNAT), все прочие правила одинаковы в 2.- только заменить input на forward P.S. А если хочешь предоставлять сервисы наружу, то все (почти) правильно, только цепочка-то должна быть input... И вообще, х.з., чего ты хочешь добиться - по твоему посту это непонятно
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]